• 發布單位:TWCERT/CC
• 更新日期:2020-06-09
• 點閱次數:1626

廣受全球遠距會議用戶愛用的 Zoom，近來被發現兩個嚴重資安漏洞，可能導致駭侵者利用此漏洞，遠端執行任意程式碼。

第一個漏洞編號為 CVE-2020-6109，發生在 Zoom 處理 GIF 圖像時發生的錯誤；駭侵者可傳送一個特製的訊息到欲攻擊的線上會議用戶或群組，並以該用戶當時擁有的權限範圍內，在任意目錄中寫入一個檔案。

駭侵者可以傳送一個以 GIF 副檔名結尾的檔案，但檔案內容實際上是一段可執行的指令碼或 script；駭侵者就可以利用這段偽裝的程式碼來進行駭侵攻擊。

這個漏洞的 CVSS 3.0 危險評分高達 8.5 分。

編號 CVE-2020-6110 的漏洞則和檔案處理的錯誤有關。駭侵者可以發送一段特製訊息給會議室中的個人或群組，並利用這個漏洞在部分特定目錄中寫入一個自我解壓縮的 zip 檔，以執行其他駭侵攻擊活動。

這個漏洞的 CVSS 3.0 危險評分也相當高，達 8.0 分。

兩個漏洞都存於 Zoom 4.6.10 之前的各作業系統版本，另一個漏洞則也存於新一點的 Zoom 4.6.11。

發現這兩個漏洞的，是網通大廠 Cisco 旗下的資安研究團隊 Talos。該單位在發現漏洞後即通報 Zoom 進行修補，目前這兩個漏洞均已在最新版本的 Zoom 中得到解決。

尚未更新至最新版本 Zoom 的用戶，請盡速更新，以避免遭駭侵者利用此二漏洞發動攻擊。

• CVE編號：CVE-2020-6109、CVE-2020-6110
• 影響產品/版本：Zoom 4.6.11 與先前版本
• 解決方案：更新至 Zoom 最新版本